Ressources en rapport avec la sécurité informatique

    

413 ressources trouvées, 393 ressources affichées


Exigences fondamentales de la sécurité informatique :
Disponibilité : les données sont accessibles et utilisables au moment voulu par les personnes autorisées
Intégrité : les données ne doivent subir aucune autre modification que celles prévues et planifiées par leur propriétaire légal
Confidentialité : les données ne sont accessibles ou ne peuvent être diffusées de façon intelligible qu’aux personnes autorisées
Preuve ou traçabilité : les accès et tentatives d’accès aux données sont tracés. Les traces sont exploitables
Non-répudiation de l’information : garantie qu’aucun des correspondants ne pourra nier un échange de données		 
Ressources en relation avec les services associés au logiciel
 
Ressources en relation avec le secret médical
 
Ressources en relation avec l’habilitation informatique
 
Ressources en rapport avec les développements informatiques
 
Ressources en rapport avec le paramétrage des logiciels de soins
 
Ressources en relation avec les défaillances des logiciels de soins
 
Ressources concernant la propriété intellectuelle du logiciel
 
Couches OSI
 
Logiciel gestion de l’encaissement (NF 525)
 
Règlement Général sur la Protection des Données (RGPD)
 
Ressources en relation avec l’Identifiant National de Santé (INS)
 
Souveraineté
 
Opérateurs de Service Essentiels
 
Health Insurance Portability and Accountability Act (HIPAA)
 
Espace Numérique de Santé
 
Règlement européen sur l’intelligence artificielle
 
Certification Hébergeur de Données de Santé (HDS)
 
Norme ISO 27799:2008 (catalogue de l’ISO) Informatique de santé - Management de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002

L’ISO 27799:2008 fournit des lignes directrices permettant d’interpréter et de mettre en œuvre l’ISO/CEI 27002 dans le domaine de l’informatique de santé et constitue un complément à cette dernière
ISO/CEI 27002 régie plus généralement la sécurité de l’information
Norme ISO 22301 (catalogue de l’ISO) Sécurité sociétale - Systèmes de Gestion de la Continuité des Activités - Exigences
 
Norme ISO/IEC 27000:2009 et suites (catalogue de l’ISO) technologies de l’information - Techniques de sécurité - Systèmes de management de la sécurité de l’information - Vue d’ensemble et vocabulaire
 
Loi informatique et liberté
- données à caractère personnel (article 2)
- responsable d’un traitement de données à caractère personnel (article 3)
- traitement des données à caractère personnel (article 6)
- données en rapport avec les origines ethniques, les opinions politiques ou religieuses (article 8)
- droit à l’information (article 32)
- responsabilités vis-à-vis de la sécurité des données (article 34)
- droit d’opposition (article 38)
- droit d’accès (article 39)
- droit de rectification (article 40)

Voir aussi titre 1 de la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
 
Article R1110-2 du CSP : « Le responsable du traitement, au sens de l’article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, est chargé de veiller au respect du référentiel. Il lui appartient notamment de :
1° Gérer la liste nominative des professionnels habilités à accéder aux informations médicales relevant de ce traitement et la tenir à la disposition des personnes concernées par ces informations (...)»
 
Documents de référence de la transformation numérique de l’état (DGME)
 
Référentiel Général d’Interopérabilité (RGI)
 
Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)
 
Fonction de hachage
 
Guide éditeur de mise en œuvre de la MSSanté et de l’alimentation du DMP dans un LPS
Voir aussi Apycrypt
Norme ISO/CEI 17799 (boutique AFNOR) sécurité de l’information, publiée en décembre 2000 par l’ISO dont le titre est Code de bonnes pratiques pour la gestion de la sécurité d’information.
 
Titre 21 CFR partie 11 du code fédéral américain (Code of Federal Regulations, CFR) traite des recommandations de la FDA sur la fiabilité des dossiers médicaux électroniques
 
L’article L. 122-6-1 III du Code de la propriété intellectuelle (modification par la loi de programmation militaire de 2013) autorise l’utilisateur d’une solution à en auditer le code logiciel sans autorisation du concepteur
 
Association Française des Hébergeurs Agréés de Données de Santé à caractère personnel (AFHADS)
Site non maintenu ?
NF EN 62304 : logiciels de dispositifs médicaux - Processus du cycle de vie du logiciel
La présente norme s’applique au développement et à la maintenance des LOGICIELS DE DISPOSITIFS MEDICAUX. La présente norme s’applique au développement et à la maintenance des LOGICIELS DE DISPOSITIFS MEDICAUX lorsque le logiciel est un DISPOSITIF MEDICAL OU lorsque le logiciel est incorporé ou fait partie intégrante du DISPOSITIF MEDICAL final. La présente norme ne couvre pas la validation et la mise sur le marché du DISPOSITIF MEDICAL, même lorsque le DISPOSITIF MEDICAL est intégralement constitué du logiciel.
 
Association pour la Sécurité des Systèmes d’Information de Santé (APSSIS)
 
Déclaration obligatoire des incidents de sécurité des SI de santé (USA)
 
Panne informatique à l’Hôpital Européen Georges Pompidou racontée par le Pr Patrice DEGOULET
 
Health Insurance Portability and Accountability Act (HIPAA)
 
Règlement (UE) 910/2014 du parlement et du conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques, JO de l’Union Européenne le 23/7/2014
 
Article 1316-1 du Code Civil : L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité.
 
Liste des hébergeurs certifiés
 
Référentiel force probante (ANS)
 
Dispositions du code de la défense spécifiques aux opérateurs de systèmes d’information d’« infrastructures vitales », article R1332-3 du Code de la défense
 
Analyse de flux https : bonnes pratiques et questions (CNIL)
 
Arrêté du 24 juillet 2015 portant création d’un traitement de données à caractère personnel par la direction interministérielle des systèmes d’information et de communication d’un téléservice dénommé « FranceConnect »
 
NF ISO/CEI 27001 (boutique AFNOR) technologies de l’information - Techniques de sécurité - Systèmes de management de la sécurité de l’information - Exigences
 
Les logiciels validés DP (Conseil National de l’Ordre des Pharmaciens)
 
La Cura
« A brain cancer.
Some very personal Open Data.
An opportunity »
Un hacker italien, atteint d’un cancer, a piraté ses propres données médicales puis les a partagées sur le web pour faire de sa lutte contre la maladie une aventure collective mais aussi une œuvre d’art numérique. Son projet, né en 2012 et baptisé La Cura, se poursuit encore aujourd’hui (Hospimedia le 24/12/2015)
Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation
 
« Hack Academy » La campagne nationale anti-hacking du CIGREF
 
Antivirus AVG, la gratuité n’existe plus, vos historiques de navigation vont être vendus (Ginjinfo, le 19/9/2015)
 
« Censys is a search engine that allows computer scientists to ask questions about the devices and networks that compose the Internet »

« Shodan is the world’s first search engine for Internet-connected devices »

« Thingful : A Search Engine for the Internet of Things »
Moteurs de recherche pour trouver des objets connectés
Attaques DDoS à partir d’objets connectés, 01.net le 4/10/2016
 
Sesan (ARS Ile-de France)
 
Les SI de santé , nouvelles cibles des hackers (DSIH le 1/3/2016)
 
Politique de sécurité des systèmes d’information de l’Etat (PSSIE)
 
Déclaration des incidents graves de sécurité des systèmes d’information des établissements de santé (article 110 de la loi de Santé)
 
Un réseau social d’entreprise (RSE) est un groupe constitué de personnes physiques et morales réunies par un dispositif de réseautage social, au sein d’un organisme
 
Arrêté du 10 juin 2016 fixant les règles de sécurité des systèmes d’information d’importance vitale relatives au sous-secteur d’activités « Produits de santé »
 
Audit Dareboost
 
Audit Nessus
 
Arrêté du 13 décembre 2016 portant désignation des autorités qualifiées pour la sécurité des systèmes d’information dans les services d’administration centrale, les services déconcentrés, les organismes et établissements sous tutelle des ministères chargés des affaires sociales
 
Arrêté du 13 décembre 2016 portant désignation des autorités qualifiées pour la sécurité des systèmes sous tutelle des ministères chargés des affaires sociales
 
La Croix Rouge Australienne laisse échapper 1,28 millions d’enregistrement médicaux et personnels (Blog Korben le mardi 8 novembre 2016)
 
Délibération du 13 octobre 2016 de la Cnil sur un projet de décret en Conseil d’Etat relatif au Système national des données de santé
 
Adel « Un label éthique pour donner du sens, de la sécurité et de la confiance aux traitements de vos données numériques »
Les systèmes d’information en santé et l’éthique (Livre, édition ISTE)

Les Big Data et l’éthique
Le cas de la datasphère médicale (Livre, édition ISTE)
Piratage des appareils médicaux : panique au bloc (Techniques de l’ingénieur, 5/1/2017)
 
Et si on hackait l’intelligence artificielle ?
Rédigé par Régis Chatellier - 20 décembre 2016
 
Chaîne de blocs (blockchain)
 
Guide gestion des habilitations d’accès au SI (PGSSIS, janvier 2017)
 
Guide des mécanismes de protection de l’intégrité des données stockées (PGSSIS, janvier 2017)
 
OIV : la détection des attaques passe sous le contrôle de l’Etat
Silicon le 19/9/2016
 
Content Security Policy Reference
 
FIC 2017 : Pour Guillaume Poupard, de l’Anssi, « les objets connectés industriels sont la priorité » (ITindustrie&technologies le 23/1/2017)
 
Un hôpital anglais ferme pour traiter son virus… informatique, Silicon le 2/11/2016
 
Délibération CNIL du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe
 
All operations cancelled in ’major incident’ at Grimsby hospital after virus attacks computer system, October 31, 2016
 
Bounty Factory : « première plateforme européenne de bug bounty »
 
Décret du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d’information
 
Référentiels de certification Hébergeur de données de santé
 
Article L1111-8 du CSP : hébergement des données de santé
 
Arrêté du 12 octobre 2016 relatif à l’organisation et aux missions du service du haut fonctionnaire de défense et de sécurité auprès des ministres chargés des affaires sociales
 
Arrêté du 28 novembre 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale
 
Des porteurs de pacemakers piratables incités à effectuer une mise à jour logicielle (LeMonde.fr, le 1/9/2017)
 
Délibération CNIL du 13 avril 2017 portant avis sur un projet de décret relatif au dossier pharmaceutique
 
Les conseils de la CNIL pour un bon mot de passe, janvier 2017
 
Traitement des données de santé : une logique de simplification et de responsabilisation accrue des acteurs, CNIL le 19/5/2017
 
Outils de prévention des cyberattaques diffusés par l’Union nationale des professions libérales (UNAPL), 17 mai 2017
 
Rançongiciel NotPetya
Actualités ANSSI
 
La réalité de la révolution Blockchain en santé, Connected mag le 12/7/2017
 
Instruction n°SG/HFDS/DGCS/2017/219 du 4 juillet 2017 relative aux mesures de sécurisation dans les établissements et services sociaux et médico-sociaux
 
Implantable Cardiac Pacemakers by Abbott (formerly St. Jude Medical): Safety Communication - Firmware Update to Address Cybersecurity Vulnerabilities (FDA)
 
Le low code : nouvelle menace sur les prérogatives du DSI (Silicon le 1 mars 2017)
 
Le labo Merck & Co sommé de s’expliquer sur sa fragilité face aux cyberattaques, La Tribune le 25/9/2017
 
cyberveille-sante.gouv : Portail d’Accompagnement Cybersécurité des Structures de Santé
 
Instruction du 26 septembre 2017 relative au rôle des ARS dans la mise en oeuvre du dispositif de déclaration obligatoire et de traitement des signalement des incidents graves de sécurité des systèmes d’information des structures de santé
 
« Bienvenue sur le dispositif d’assistance aux victimes d’actes de cybermalveillance (...) Comprendre la cybermalveillance et se protéger »
Ministère de l’économie et des finances, Ministère de la justice, Ministère de l’intérieur
 
Cybersécurité : la science est entrée en guerre, LesEchos.fr le 19/11/2017
 
Pirater une chaîne de TV internationale, mode d’emploi, 01net.com le 18/6/2017
 
Le site data.gouv.fr fermé après le passage d’un pirate informatique, Zataz.com 30 Juil 2017
 
Les pertes de données souvent liées à de mauvaises manoeuvres, Le monde informatique, 1/9/2017
 
Collège National des Médecins des Hébergeurs
 
« Cyber defense is clearly a top priority for NATO »
Défense 189, novembre-décembre 2017
 
NHS computer problems could be to blame for ‘hundreds of deaths’
Independant, Tuesday 6 February 2018
Outre-Manche, une étude alerte sur les dangers des ordinateurs vieillissants du National Health Service (NHS), qui seraient responsables de « 100 à 900 décès par an ». Des chiffres effarants, dont l’à-peu-près révèle surtout une totale méconnaissance de l’impact réel des défaillances logicielles dans le monde de la santé...
TICpharma le 23/2/2018
Décret du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel - Certification de l’hébergement des données de santé
 
Loi du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, loi transposant la directive européenne sur des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information
Transposition de la directive NIS
« Kit de sécurité des données » à l’heure du RGPD (ANSSI)
 
Rapport au Président de la République relatif à l’ordonnance du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel
 
Ordonnance du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel
 
Liste des hébergeurs de données de santé agréés
 
Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, RGPD)
 
Décret du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique
Les organismes sociaux, les établissements de santé, y compris les hôpitaux et cliniques privés, ainsi que les grossistes répartiteurs pharmaceutiques sont désignés comme services essentiels au fonctionnement de la société ou de l’économie.
Loi du 20 juin 2018 relative à la protection des données personnelles
 
Pratiques abusives « Mise en conformité RGPD » : comment s’en prémunir avec la CNIL et la DGCCRF, juin 2018
 
Arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel
 
Décision du Conseil Constitutionnel du 30 mars 2018 - Question Prioritaire de Constitutionnalité : Pénalisation du refus de remettre aux autorités judiciaires la convention secrète de déchiffrement d’un moyen de cryptologie
 
La Cour des comptes reconnaît l’intérêt du logiciel libre
Numérama, le 9/2/2018
 
RGPD : 10 questions pour comprendre le nouveau règlement sur la protection des données
Numérama, le 21/6/2018
 
La RGPD signe-t-elle la fin de la base de données Whois ?
Clubic, le 1/6/2018

« Whois » : la justice allemande rejette une attaque de l’ICANN contre un registrar
Next Inpact, le 5/6/2018
 
Règles NF 525, Logiciel gestion de l’encaissement
Règles NF 525, site d’Infocert

Offre Infocert
Faille touchant les connexions Bluetooth de nombreux objets connectés
Le Monde, le 11/8/2017
 
TVA - Régimes d’imposition et obligations déclaratives et comptables - Obligations d’ordre comptable - Obligation d’utilisation de logiciels ou systèmes de caisse certifiés
Bulletin Officiel des Finances Publiques-Impôts
 
Veterans’ personal data stolen
Inforum, May 23, 2006 at 12:00 a.m.
 
Data breach of 1,000 patients lands former Long Beach VA worker in prison
Press-Telegram, June 15, 2018
Albert Torres, arrêté en avril aux Etats-Unis pour avoir dérobé les données de plus de 1.000 patients du Veterans Affairs Medical Center de Long Beach, où il travaillait, a été condamné à trois ans de prison.
TICpharma le 22/6/2018
Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l’article 10 du décret du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique
Hospimédia le 2/10/2018
Les opérateurs de services essentiels (OSE) doivent appliquer des règles de sécurité aux réseaux et aux systèmes d’information (SI). Ces règles viennent d’être précisées en annexe d’un arrêté publié au Journal officiel du 29 septembre. Pour ce qui est de la gouvernance de la sécurité, l’OSE doit effectuer et tenir à jour une analyse de risque de ses SI. Pour cela, il est invité à élaborer une politique de sécurité des réseaux et systèmes d’information (PSSI) définissant : les objectifs et les orientations stratégiques, l’organisation de la gouvernance de la sécurité, les plans de sensibilisation à la sécurité ou encore les procédures de contrôle et d’audit.
Des hackers s’attaquent au Téléthon : la biotech YposKesi cible d’un ransomware
Des cybercriminels du ransomware Babuk ont publié une partie des fichiers qu’ils disent avoir volés à l’entreprise innovante qui produit des traitements de thérapie génique. Ils exigent une rançon pour ne pas publier le reste des données.
Le Parisien, le 27/3/2021
 
Mooc de la CNIL sur le RGPD
 
Pourquoi le business model des garanties « cyber rançon » est actuellement remis en cause ?
Les garanties qui couvrent le risque des ransomwares vont-elles bientôt disparaître ? Peut-être, à en croire la récente suspension de la garantie « cyber rançonnage » d’Axa France. En effet, pour les assureurs, le versement de la rançon coûte parfois moins cher que de payer l’indemnité au titre de la police d’assurance. Or ce système est contre-productif puisqu’il renforce l’activité des hackers.
L’UsineDigitale, le 6 mai 2021
Mon avis :
Payer la rançon coûte moins cher (et pas seulement à l’assurance comme le laisse penser l’article) ... quand le solutionware fonctionne.
Même si c’est juridiquement possible (assimilable à du recel), il semble difficile aux juristes de sanctionner le payeur d’une rançon dès lors qu’il peut faire prévaloir son statut de victime, son absence de responsabilité dans l’acte délictueux initial et donc quelque part un défaut de souveraineté.
Trois vulnérabilités ont été découvertes sur les moniteurs cardiaque de la famille d’équipement Drager Infinity® Delta (moniteur de chevet et de transport pour la surveillance continue des patients)
Cyberveille-sante.gouv.fr mars 2019
 
Cyber-sécurité au quotidien 9 réflexes clés
« Les clés de la banque »
 
Le NHS (National Health Service) au Royaume Uni, a déclaré qu’un million d’ordinateurs, soit environ 76% du total des ordinateurs du NHS, pourraient être exposés aux cyber-menaces en raison de systèmes d’exploitation obsolètes (OS Windows 7)...
Quelle est la situation en France ?
Les données de santé des patients irlandais sont en libre accès sur Internet à la suite d’une cyberattaque
Le groupe de hackers, qui s’en est pris au système de santé publique irlandais (HSE), a publié un échantillon de données de santé sur le dark net. Il exige désormais le versement d’une rançon de 20 millions de dollars pour arrêter la publication. Au total, ce sont 700 gigaoctets d’informations sensibles qui auraient été volées.
L’UsineDigitale, le 14/5/2021
 
Liste des organismes de certification HDS
 
Royaume-Uni : les données biométriques d’un million de personnes ont été exposées
SiecleDigital, le 27/10/2019
 
Vulnérabilités critiques dans les appareils Valleylab FT10 and FX8 de Medtronic
Elles permettent à un attaquant d’accéder à des fichiers en tant qu’administrateur et d’exécuter du code arbitraire à distance.

CVE-2019-3464 et CVE-2019-3463 [Score CVSSv3 : 9.8] : Les produits concernés utilisent une version vulnérable de rssh (utilitaire permettant de faciliter le téléchargement de fichier)
 
« La politique publique des données de santé est à réinventer »
Centraliser les données de santé sur une plate-forme unique gérée par Microsoft génère un risque accru de piratage ainsi qu’une perte d’efficacité, estime, dans une tribune au « Monde », le haut fonctionnaire Christian Babusiaux.
Le Monde, le 4/6/2020
 
Cybersecurity Act (ANSSI)
Adopté par le Parlement européen le 12 mars 2019 puis par le Conseil de l’Union européenne le 7 juin, le règlement européen Cybersecurity Act marque une véritable avancée pour l’autonomie stratégique européenne. Il poursuit un double objectif : l’adoption du mandat permanent de l’ENISA, l’Agence européenne pour la cybersécurité, et la définition d’un cadre européen de certification de cybersécurité, essentiel pour renforcer la sécurité du marché unique numérique européen.
 
ISO 27701 et ISO 42001 expliquées sur le site de la CNIL
 
Les applications de traçage du Covid-19 virent au casse-tête pour Google et Apple
En l’absence de normes nationales, les géants de la tech jouent le rôle de régulateur d’un marché peu transparent en matière d’usage des données privées
L’Opinion, le 8 Juin 2020
 
Liste des organismes de certification Hébergement de Données de Santé
 
Portail de signalement des événements sanitaires indésirables
 
Alerte de la cellule ACSS sur des fax frauduleux envoyés aux hôpitaux
cyberveille-sante.gouv.fr le 11 juillet 2019
 
Amazon Web Services certifié hébergeur de données de santé : oui mais... (MAJ)
Le Monde informatique, le 15/3/2019
 
Meditab : pourquoi des milliers de dossiers médicaux auraient-ils pu être hackés ?
Le Siècle Digital, le 18/3/2019
 
Arrêté du 28 mars 2022 portant approbation du référentiel relatif à l’identification électronique des acteurs des secteurs sanitaire, médico-social et social, personnes physiques et morales, et à l’identification électronique des usagers des services numériques en santé
 
Corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S)
 
Why Companies Should Give Consumers Ownership Of Their Health Data
Forbes Apr 1, 2022
 
Décret du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information
Les incidents de sécurité informatique doivent être signalés à l’ANS et non plus à l’ARS
 
Doctolib : nos données médicales ne sont pas entièrement protégées
En quelques années, Doctolib est devenu un acteur phare du système de santé avec 50 millions d’utilisateurs en France. Mais contrairement à ce que l’entreprise a longtemps affirmé, nos données personnelles ne sont pas entièrement chiffrées.
france inter, le 20/5/2022
 
Directive 2016/1148 du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des systèmes d’information dans l’Union (JO européen du 19/7/2016)
« Directive NIS » (Network and Information Security)
Oregon hospital replacing 2,000 computers after ransomware attack: 5 details
Becker’s Health It, Tuesday, November 10th, 2020
 
Attaques informatiques en série contre les laboratoires engagés dans la recherche d’un vaccin contre le Covid-19
Microsoft dit avoir repéré des attaques ou des tentatives d’attaque visant sept entreprises, sans que l’on connaisse les intentions précises des hackeurs.
Le Monde, le 17 novembre 2020
 
Coronavirus: Cyberattack blamed for delay in Germany’s health data
The Robert Koch Institute (RKI) had to delay publishing coronavirus numbers on Wednesday due to a cyberattack on its website. It was the second such attack on the RKI in less than a week.
dw.com 28/10/2020
 
Ordonnance du 18 novembre 2020 relative aux missions des agences régionales de santé étendant l’obligation de déclaration des incidents significatifs de sécurité des systèmes d’information au médico-social et aux hôpitaux des armées
 
Une cyberattaque peut donner naissance à de nouveaux virus et toxines
Sécurité : Des chercheurs israéliens mettent en évidence les dangers potentiels des nouvelles techniques de « biohacking ».
ZDNet le 30/11/2020
 
US Fertility says patient data was stolen in a ransomware attack
TechCrunch, November 26, 2020
 
Covid-19 : le crime organisé va viser les vaccins, prévient Interpol
L’organisation de coopération policière internationale appelle aussi à la vigilance face au risque de circulation de faux tests.
Le Figaro avec AFP le 02/12/2020
 
Nos données de santé sont-elles suffisamment protégées ?
Entretien avec le juriste Nicolas Samarcq autour de la protection des données de santé. L’occasion de revenir sur le développement de la télémédecine en ces temps de crise sanitaire, ainsi que sur le projet de création en France d’un Health Data Hub à des fins de recherche médicale.
Usbeke & Rica, 26 octobre 2020
 
Aspen Valley Hospital able to stave off holiday hijack by « ransomware »
TheAspenTime, January 7, 2020
 
15 Million Customers Potentially Impacted by Ransomware Attack on Large Canadian Medical Testing Company
HIPAA Journal on Dec 18, 2019
 
HIPAA Journal
 
California Consumer Privacy Act (CCPA)
Healthcare data covered by the Health Insurance Portability and Accountability Act (HIPAA) Rules and California’s Confidentiality of Medical Information Act (CMIA) were exempted from CCPA...
HIPAA Journal on Jan 20, 2020
 
Piraté pendant deux mois, un hôpital a dû se passer d’informatique
Pendant deux mois, le personnel d’un hôpital des Hauts-de-France a dû se passer d’ordinateurs à cause d’une attaque informatique importante. Un mail qui semblait venir de l’ARS contenait un virus dans une pièce-jointe.
egora.fr le 20-01-2020
 
Agence Européenne de cybersécurité (ENISA)
 
Centre gouvernemental de la veille, d’alerte et de réponse aux attaques informatiques
 
L’agrément HDS prorogé sous certaines conditions
Agence du Numérique en Santé (ANS), le 30/3/2020
 
Protocole ROBERT (ROBust and privacy-presERving proximity Tracing) « l’état de l’art de nos réflexions sur l’architecture technique d’une application de ’contact tracing’ respectueuse des valeurs européennes »
 
Des hackers nord-coréens ciblent des chercheurs en sécurité via un faux blog scientifique
Des chercheurs en sécurité ont été pris pour cibles par « une entité soutenue par le gouvernement basée en Corée du Nord », alertent des membres du Threat Analysis Group de Google. Via un blog et des comptes Twitter, les hackers tentaient d’attirer les chercheurs qui en cliquant sur certains liens se retrouvaient affectés par un malware.
L’UsineDigitale, le 26/1/2021
 
Comment des hackers tentent de voler des résultats de recherche sur le coronavirus
Technologie : Un avertissement conjoint du Centre national de cybersécurité du Royaume-Uni et du ministère américain de la sécurité intérieure avertit que les cyberattaquants ciblent ces recherches par le biais de diverses astuces de piratage.
ZDNet, le 11/5/2020
 
StopCovid : faut-il rendre publique l’identité des développeurs ?
Alors que le code source de l’application StopCovid doit être rendu public pour dissiper les inquiétudes, un député propose de publier aussi l’identité des développeurs, par souci de transparence. Mais cela ne va pas sans poser problème.
Numérama, le 20/5/2020
 
Arrêté du 1er mars 2021 modifiant l’arrêté du 10 juillet 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire
Fin de la dérogation permettant de s’équiper en outils numériques ne respectant pas la PGSSI-S et la certification HDS
Israel Rolls Out ’Green Passport’ for Vaccinated. It’s a Security Disaster
Information security experts reverse engineered Israel’s coronavirus vaccination certification app and discovered that despite already being live - it’s exposed and even dangerous
Haaretz, Mar. 2, 2021
 
Le conseil sanitaire de Waikato (DHB) en Nouvelle-Zélande est victime d’une attaque informatique de grande ampleur depuis trois semaines. Cette structure, qui gère cinq sites hospitaliers et dessert plus de 425 000 personnes, a dû annuler une partie des opérations chirurgicales non urgentes et reporter des rendez-vous.
(...) Le maliciel responsable de ce crime est une nouvelle version du rançongiciel Zeppelin, apparu en novembre 2019.
Cert-santé
Cette page n’est plus librement accessible
Arrêté du 11 juin 2021 portant adoption de la charte d’audit applicable aux audits relatifs au système national des données de santé
 
Offre « Intelligence artificielle » du Laboratoire National de métrologie et d’Essais (LNE)
 
Covid-19 et les 40 voleurs
Apssis, juin 2020
 
Pourquoi préserver le statut d’HDS
Billets « concertations » de François Kaag
Association Française des Hébergeurs Agréés de Données de Santé à Caractère Personnel (AFHADS, dissoute)
 
Cybersécurité : les exfiltrations de données de santé ont doublé avec le Covid-19
IT industrie & technologies, le 1/7/2020
 
Données de santé : comment l’Allemagne tente d’échapper à l’emprise américaine
Le ministre de la Santé, Jens Spahn, veut échapper aux « modèles de surveillance policière ou capitaliste qui ne sont pas les nôtres », en développant un dispositif 100 % européen. Il appelle à la création d’une banque de données allemande, pouvant préfigurer celle souhaitée par la Commission européenne.
Les Echos, le 11/3/2020
 
HHS introduces new rules to give patients more control over their health data
The Hill, 9 march 2020
 
Bluetooth-Related Flaws Threaten Dozens of Medical Devices
Hundreds of smart devices - including pacemakers - are exposed thanks to a series of vulnerabilities in the Bluetooth Low Energy protocol.
Wired 20/2/2020
 
Hacking smart devices to convince dementia sufferers to overdose
Penetrating service and security services, 9 Jul 2020
Détaille assez précisément la procédure de hacking
Prestataires de service d’informatique en nuage (SecNumCloud)
Visa de sécurité de l’ANSSI
 
Alerte de la cellule ACSS sur la diffusion du logiciel malveillant Emotet
Plusieurs établissements de santé ont été victimes d’actes de cybermalveillance impliquant le maliciel Emotet. Il convient d’y apporter une attention particulière car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes.
Cyberveille, septembre 2020
 
N’importe qui pouvait lire les courriers d’Ameli
L’ANSSI alertée, deux failles corrigées
NextImpact, le 18/12/2019
 
Un ransomware provoque le décès d’une femme en urgence vitale dans un hôpital allemand
Vu ailleurs L’hôpital de Düsseldorf, en Allemagne, n’a pas pu opérer une femme en urgence vitale car il était touché par un ransomware paralysant son système. Lors de son transfert vers un autre établissement de santé, la patiente est décédée. Les autorités allemandes ont ouvert une enquête pour homicide involontaire contre les cybercriminels.
L’UsineDigitale le 18/9/2020
 
Plateforme Convergence
Plateforme nationale pour accompagner les acteurs de la e-santé à se conformer à la réglementation et à accélérer leur développement
 
Medigate lève 30 millions de dollars pour exporter sa plateforme de sécurisation de l’IoT médical
Levée de fonds Medigate a développé une plateforme de cybersécurité qui surveille le trafic généré par les objets connectés médicaux afin d’avertir les hôpitaux en cas de vulnérabilités informatiques. La jeune pousse new-yorkaise vient de lever 30 millions de dollars pour exporter sa solution en Europe et en Asie. Elle désire également adapter sa plateforme aux appareils utilisés dans le cadre de la télémédecine.
L’UsineDigitale, le 16/9/2020
 
Clinical Trials Hit by Ransomware Attack on Health Tech Firm
No patients were affected, but the incident was another reminder of the risks in the increasingly common assaults on computer networks.
The New York Times, Oct. 3, 2020
 
Décret du 30 juillet 2021 prorogeant et étendant l’expérimentation d’une « e-carte d’assurance maladie »
 
Cybersecurity Law of the People’s Republic of China
Passed November 6, 2016. Effective June 1, 2017
NewAmerica.org
 
Cybersécurité
Faille informatique : 700 000 résultats de tests Covid-19 rendus accessibles
Libération, le 31/8/2021
 
Article L1111-8-2 : déclaration des événements de sécurité des SI
 
40 millions d’Américains ont perdu le contrôle de leurs données de santé
La tendance inquiète, les chiffres sont éloquents. En 2021, près de 40 millions d’Américains ont fait les frais d’un vol de données de santé.
L’ADN, le 9/12/2021
 
Active Directory d’après Wikipédia
 
L’offre de service « Parcours de cybersécurité » est proposée par l’ANSSI aux collectivités territoriales, aux établissements de santé et aux organisations au service des citoyens dans le cadre de France Relance. Son objectif ? Élever le niveau de sécurité de systèmes d’information de ses bénéficiaires via la mise en œuvre de parcours de sécurité adaptés aux enjeux et aux besoins des organisations. L’accompagnement des bénéficiaires est le maître-mot de cette offre de service.
 
Des données médicales confidentielles en libre accès sur internet
ActuSoins, le 12 avril 2021
 
Une ingénieure antivax pirate le serveur d’un hôpital lyonnais
Une femme de 39 ans, ingénieure aux Hospices civils de Lyon et opposée à l’obligation vaccinale liée à sa situation professionnelle, a manifesté sa réprobation en s’introduisant dans le serveur informatique de l’hôpital Édouard Herriot, place d’Arsonval à Lyon (3e).
Le Progrès, le 26/1/2022
 
Le Health Data Hub cherche son centre opérationnel de sécurité
Au cœur du Health Data Hub, la centralisation des données de santé nécessite une sécurité informatique irréprochable. A ce titre, un appel d’offres a été lancé pour déployer un centre opérationnel de sécurité chargé d’analyser les menaces et d’identifier les mesures de sécurité à mettre en oeuvre. Le marché a une durée de trois ans.
L’Usine Digitale, le 13/6/2022
 
Autopsie d’un piratage : Cyberattaque au CH d’Arles
Dans la nuit du 1er au 2 août 2021, l’équipe du laboratoire biologique du centre hospitalier d’Arles appelle l’ingénieur informatique d’astreinte pour lui signaler des difficultés de connexion. Pour mieux comprendre, l’ingénieur se rend sur place...
What’s up Doc, 16 août 2022
 
Jean-Noël Barrot, le ministre délégué au Numérique, présente ses objectifs dans la cybersécurité
D’ici 2025, le chiffre d’affaires du secteur de la cybersécurité devrait être multiplié par trois, la France devrait disposer de trois licornes et avoir créé 37 000 emplois, a promis Jean-Noël Barrot, ministre délégué au Numérique, devant un parterre d’industriels. Des annonces sur la protection des ETI-PME et le cloud devraient avoir lieu dans les prochaines semaines.
L’UsineDigitale, le 7/9/2022
La cybersécurité pour le ministre, c’est un marché avant d’être une souveraineté.
Un marché ne résulte pas seulement une offre mais aussi d’une demande solvable.
Face à un problème de sécurité, la chambre de commerce nous répond...
Fog of war: how the Ukraine conflict transformed the cyber threat landscape
One year after the Russian invasion of Ukraine, Google TAG, Mandiant, and Trust & Safety provide insights into changes in the cyber threat landscape triggered by the war.
Threat Analysis Group, Feb 16, 2023
 
Un implant dans le cerveau pour communiquer ?
l-express.ca, le 10/2/2023
 
Exercice de crise cyber
ANS, 14/11/2022
 
Arrêté du 17 avril 2023 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Etablissements de santé » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense
 
Arrêté du 17 avril 2023 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Veille et alerte sanitaires » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense
 
FranceConnect : 1400 adhérents de la MSA victimes d’une usurpation d’identité
La Mutualité sociale agricole, organisme en charge de la couverture sociale du monde agricole, a suspendu l’accès à sa plateforme via FranceConnect. Elle assure n’avoir constaté aucune activité frauduleuse, mais promet de renforcer la sécurité.
L’UsineDigitale, le 30/5/2023
 
Actualisation de la doctrine d’utilisation de l’informatique en nuage par l’État (« cloud au centre »)
Cette circulaire précise la doctrine d’utilisation de l’informatique en nuage par l’État, introduite par la circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État.
Référentiel de sécurité, d’interopérabilité et d’éthique des SI de téléconsultation
Référentiel soumis à concertation
 
Allocation handicap : déjà deux mois sans virement pour certaines familles martiniquaises
Sans allocations depuis le bug informatique à la Collectivité Territoriale de Martinique, des personnes en situation de handicap et leurs aidants familiaux manifestaient le 17 juillet dernier. La CTM avait alors promis un retour à la normale à la fin du mois, mais à cette date, des familles n’ont encore rien reçu. Elles se mobilisent de nouveau ce jeudi 3 août.
FranceInfo, le 2/8/2023
Une première analyse de l’impact des cyberattaques sur les établissements de soin
Healthcare Data Institute, 11 juillet 2023
 
Les données de santé de quatre millions d’Américains volées après la cyberattaque contre MOVEit
Le système de santé du Colorado a reconnu être une victime collatérale de l’attaque contre le logiciel de transfert de données MOVEit, touché par l’intermédiaire d’IBM, qui gère une partie de son infrastructure informatique.
L’UsineDigitale, le 16/8/2023
Les hackers nord-coréens de Lazarus se seraient attaqués à des organismes de santé
Des chercheurs de Cisco Talos ont découvert de nouvelles attaques des pirates opérant pour le compte du régime de Kim Jong-un. Les hackers de Lazarus auraient usé massivement d’outils open source pour s’en prendre à des organismes de santé aux Etats-Unis.
L’UsineDigitale, le 28/8/2023
 
SensCyber : une e-sensibilisation à la cybersécurité, par Cybermalveillance.gouv.fr
Association nationale pour la formation permanente du personnel hospitalier (Anfh)
 
Cybersécurité : « La météo n’est pas très bonne », alerte le directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information
Les cyberattaques de réseaux informatiques, d’entreprises ou encore d’hôpitaux contre rançon se multiplient et l’espionnage se développe, ont constaté les Assises de la cybersécurité, qui se sont déroulées jusqu’à vendredi à Monaco.
franceinfo, le 15/10/2022
 
Cybermoi/s 2023 : 83 entités s’engagent à travers la signature de la « CharteCyber » et lancent un appel à mobilisation générale
CyberMalveillance.gouv.fr, le 1/10/2023
 
AstraZeneca password lapse exposed patient data
TechCrunch, November 3, 2022
 
Santé et objets connectés : y a-t-il un médecin sur mon poignet ?
Dans son documentaire « Objets connectés : un atout pour se soigner ?» diffusé mardi soir dans « Enquête de santé », Bruno Timsit fait le point sur l’importance et les enjeux, pour la médecine de demain, de ces dispositifs capables de récupérer et transmettre en continu des données de santé.
Libération, le 14/11/2022
 
Cyber-résilience reconstruction du SI et continuité d’activité métiers en cas de cyberattaque paralysante
AFNOR SPEC 2208
Novembre 2022
 
MonServiceSécurisé
Protégeons les services publics en ligne
ANSSI
 
Cyber-attaques contre des hôpitaux : « Ça n’est que le début et ça va être pire », estime un expert israélien
Les cyber-attaques contre des hôpitaux font partie des événements marquants de l’année 2022 qui s’achève. Depuis Israël, pays réputé pour sa cyber-industrie, l’un des meilleurs experts du secteur livre son diagnostic et ses préconisations, face à un fléau qui risque de se développer en 2023.
FranceInter, le lundi 26 décembre 2022
 
Des hackers s’excusent après la cyberattaque d’un hôpital pour enfants au Canada
Lockbit pointe le mauvais comportement d’un de ses affiliés, qui n’a pas respecté la charte du groupe. L’attaque a eu lieu le 18 décembre à Toronto
20 minutes 3/1/23
 
Mobile Health App Interactive Tool
Federal Trade Commission, protecting Americ’s consumers (USA)
 
Compagnies aériennes, santé... Ceux qui utilisent encore des disquettes à l’ère numérique
On les croyait tombées dans l’oubli, prenant la poussière sur des étagères ou cachées dans des placards, mais les disquettes n’ont pas totalement disparu de la circulation. Même si leur production a été stoppée en 2011, des entreprises industrielles, des acteurs de la santé, et même des compagnies aériennes continuent d’en utiliser.
CNET, le 27/10/2022
 
Cybersécurité : la surveillance de masse en Égypte et la désinformation dans les Pays baltes
FranceInfo, le 3/10/2023
 
Sécurité des données et désinformation : les enjeux français et européens
GeoStrategia, le 21 novembre 2023
 
Ajustements 2024 du référentiel de certification des établissements de santé pour la qualité des soins et témoignages d’établissements
Replay du webinaire HAS du 12/9/2023
 
Snowpack
 
Aide au dépôt de plainte en cas d’attaque par rançongiciel
CERT Santé, le 11/3/2024
 
Le piratage de Microsoft par la Chine était “évitable”, assure un comité gouvernemental américain
Le Cyber Safety Review Board, autorité indépendante du département de la Sécurité intérieure des États-Unis, a publié un sévère rapport sur les pratiques de cybersécurité de Microsoft. Selon elle, la campagne chinoise de cyberespionnage ayant ciblé le géant de l’informatique l’été dernier était “évitable”, et “n’aurait jamais dû avoir lieu”.
L’Usine Digitale, le 3/4/2024
 
Portail mesHabilitations
« C’est ici que je désigne les personnes en charge de la gestion des certificats logiciels ou les gestionnaires eRPPS et que je consulte mes habilitations »
 
ISO/IEC 27701:2019
Techniques de sécurité
Extension d’ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée
Exigences et lignes directrices
 
UnitedHealth confirme que des hackers ont volé les données de santé de nombreux Américains
Change Healthcare, branche de la société d’assurance américaine UnitedHealth, avait été touchée par une cyberattaque fin février, mettant en difficulté le fonctionnement du système de santé du pays. Le groupe de santé, qui gère les données de santé de près de la moitié des Américains, a confirmé un vol massif de données et le paiement d’une rançon pour éviter la publication de fichiers supplémentaires.
L’UsineDigitale, le 23/4/2024
Two-thirds of top 20 pharmas have banned ChatGPT and many in life sci call AI ’overrated,’ survey finds
Fierce Pharma, Apr 19, 2024
 
Cyberattaque à l’hôpital de Cannes : les hackers de LockBit publient 61 gigaoctets de données
L’hôpital Simone-Veil, à Cannes, avait été touché le 16 avril par une cyberattaque. Le groupe de hackers LockBit avait revendiqué l’opération et émis une demande de rançon expirant le 1er mai au soir. Ce matin, 61 gigaoctets de données personnelles de patients et d’agents pubics, et de données relatives au fonctionnement de l’hôpital, ont été publiés sur le dark web.
L’UsineDigitale, le 2 mai 2024
 
Les Dispositifs de la vague 2 du Ségur du numérique en santé
 
Une entreprise américaine d’analyse ADN se fait pirater des millions de données
Une entreprise spécialisée dans les tests ADN a été condamnée à 400.000 euros d’amende après une énorme faille de sécurité. Les noms, numéros de sécurité sociale et coordonnées bancaires de 2 millions de personnes avaient été piratés.
BFMtv, le 23/02/2023
 
L’enjeu de la connaissance : le cyberespace : conflictualité et coopération entre les acteurs
Vidéo YouTube
 
Royaume-Uni : En manque de sang après une cyberattaque, cet hôpital londonien sollicite ses soignants pour un don
L’attaque informatique a fortement perturbé la livraison de produits sanguins de plusieurs grands hôpitaux publics de la capitale britannique
20 minutes, le 13/6/2024
 
Panne informatique mondiale : des aéroports, des hôpitaux et de nombreuses autres entreprises paralysés dans le monde entier
La panne liée au logiciel Falcon Sensor de l’entreprise américaine CrowdStrike, touchant les ordinateurs sous Microsoft Windows, paralyse ou perturbe depuis ce matin des entreprises et des services sur tous les continents. La principale hypothèse est celle d’un bug technique, et non d’une cyberattaque.
Le Monde, le 19/7/2024
 
Panne informatique affectant les systèmes Microsoft Windows disposant de l’EDR Crowdstrike Falcon
Bulletin d’actualité du CERT-FR, 19 et 20/7/2024
 
Evaluating applied security controls for safeguarding medical device-integrated electronic medical records
Journal of Evaluation in Clinical Practice, 19 September 2024
 
Arrêté du 18 octobre 2024 modifiant l’arrêté du 9 février 2024 approuvant le référentiel d’interopérabilité, de sécurité et d’éthique des systèmes d’informations de téléconsultation et définissant la procédure de délivrance du certificat de conformité des systèmes d’information des sociétés de téléconsultation en application du 3° de l’article L.4081-2 du code de la santé publique
750 000 fichiers et dossiers patients sensibles français en fuite sur le dark web, que se passe-t-il ?
Un cybercriminel a mis en ligne, mardi, une base de données contenant les informations hospitalières et personnelles de plus de 750 000 personnes. Celui-ci revendique une fuite de données du logiciel de gestion médicale Mediboard.
Clubic, le 19 novembre 2024
 
L’ancien responsable informatique d’un groupe hospitalier soupçonné d’être à l’origine d’une cyberattaque visant neuf établissements
Début octobre, le groupe hospitalier Grand Ouest (GHGO), gestionnaire de neuf établissements en Bretagne et dans les Pays de la Loire, avait été victime d’une cyberattaque d’envergure.
Le Parisien, le 23 décembre 2024
 
Kit Plan de continuité et de reprise d’activité (PCRA) dans le secteur médico-social
ANS, le 14/1/2025
Arnaqueur ou hackeur au grand coeur apres une cyberattaque d’ampleur l’ex-employé d’un groupe hospitalier au tribunal
 
How the ransomware attack at Change Healthcare went down: A timeline
A February 2024 ransomware attack on UnitedHealth-owned health tech company Change Healthcare stands as the largest data breach of health and medical data in U.S. history.
TechCrunch, January 27, 2025
 
Fiches doctrine du numérique en santé 2025
 
Liste des solutions certifiées conformes au référentiel d’interopérabilité et de sécurité des DMN
 
23andme confirme le vol de données lié aux tests ADN de 6,9 millions d’utilisateurs
Peu de données sont plus sensibles que l’ADN. Pourtant, les tests ADN récréatifs sont monnaie courante. 23andme, l’un des pionniers du secteur, est le premier à connaître une compromission d’envergure avec le vol désormais avéré de données concernant au moins 6,9 millions d’individus.
L’UsineDigitale, le 5/12/2023
 
Cybermalveillance et santé : attaques ciblées, la future normalité ?
vidéo
L’instant H (Hospimédia), février 2023
 
Radiographie de l’organisation des cybercriminels
(audio) Le Monde informatique, juin 2022
 
European action plan on the cybersecurity of hospitals and healthcare providers
European commission, 15 January 2025
 
Les API de Mon Espace Santé sous haute surveillance
En janvier 2022, la CNAM et la Direction de la Sécurité Sociale lançaient Mon Espace Santé, une déclinaison grand public du DMP, le Dossier Médical Partagé. Un service Web nécessairement sous haute surveillance, tant les données sont critiques.
LeMagIT, le 20/12/2023
 
Pirater un hôpital sans nuire aux patients… la fausse promesse des hackers
Après avoir piraté deux hôpitaux américains, un groupe de hackers a déclaré qu’il ne comptait pas à nuire à la santé des patients, « seulement » à leur vie privée. Cette règle commune chez les pirates est en réalité peu respectée.
Numérama, le 9/1/2024
 
Ingénierie sociale (sécurité de l’information)
 
Après OVHcloud, Cloud Temple se positionne à son tour sur le Health Data Hub
Cloud Temple, l’un des 5 fournisseurs de cloud français ayant obtenu le visa de sécurité SecNumCloud, s’intéresse de très près au Health Data Hub. Cette immense base regroupant les données de santé des Français est actuellement aux mains de Microsoft Azure et ce, jusqu’en 2025 en principe. Sébastien Lescop, CEO de Cloud Temple, a exposé sa stratégie au Club des DPO pour réussir à convaincre l’Etat de lui confier cet hébergement.
l’UsineDigitale, le 222/1/2024
 
Nom, numéro de sécurité sociale : 20 millions d’assurés potentiellement touchés par une fuite de données
L’entreprise Viamedis, en charge de la gestion du tiers payant pour 20 millions de Français, a été victime d’un piratage. De nombreuses données sensibles sont concernées.
BFMTV.fr, le 1/2/2024
 
Publication de l’OPSSIMS : observatoire Permanent de la sécurité des SI spécifique au secteur médico-social
 
kit d’exercice de crise cyber en établissement sanitaire et médico-social
ANS, le 17/4/2025
 
Document en français
Issu des assises de la sécurité des SI, Monaco octobre 2011

Publié sur ce site avec l’autorisation de JP.Blum
Document en français
Vade-Mecum des Objets Connectés
Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé (APSSIS) et DSIH magazine, juillet 2014

Nombreux exemples et références
Document en français
Qualité et sécurité du télésoin
Bonnes pratiques pour la mise en œuvre
HAS, le 18 février 2021
Document en français
Guide d’hygiène informatique (ANSSI)
Version 2.0 janvier 2017
Document en français
Avis 20210021 du 15 avril 2021 de la CADA

La communication des codes sources du Health data hub n’aura pas lieu
Hospimédia le 26/04/21
Le Conseil national du logiciel libre a demandé la communication des codes sources du Health data hub. Une demande à laquelle la Commission d’accès aux documents administratifs n’a pas pas répondu favorablement.
Document en français
Contrats liés aux logiciels médicaux : les obligations des médecins
Traite des obligations des médecins quant à l’utilisation des logiciels de soins

Publié dans le bulletin de l’Ordre national des médecins de juillet-août-septembre 2015
Document en anglais
Using Health IT in Practice Redesign: Impact of Health IT on Workflow
AHRQ

Etude de l’impact des données médicales électroniques fournies par les patients
Document en français
Guide pratique : Plan de Continuité Informatique
ASIP Juillet 2015
Document en français
« Le CNPS met en garde contre l’implantation de logiciels externes dans les postes de travail des professionnels de santé »
Lettre du Centre National des Professions de Santé du 10 mars 2016
Document en français
Guide pratique
Mécanismes de protection de l’intégrité des données stockées
PGSSI-S ASIP mai 2016
Document en français
Guide pratique
Gestion des habilitations d’accès au SI
PGSSI-S, ASIP mai 2016
Document en français
GT 28 CSF
Créer les conditions d’un développement vertueux des objets connectés et des applications mobiles en santé
Janvier 2017
Document en français
Contrairement à l’informatique hospitalière, les applications mobiles sont vaccinées contre les attaques. En effet, leurs données ont peu de valeur pour les pirates
Que choisir, août 2016
Document en français
Dans la lettre de St Jude aux utilisateurs publiée par l’ANSM (Lien non faisable !) le 13 avril, la société annonce la mise à disposition en Europe de la version logicielle 8.2.2 du transmetteur patient Merlin@Home, bénéficiant de mises à jour « qui complètent les mesures de sécurité existantes et réduisent encore davantage les risques déjà très faibles de cybersécurité ».
Document en français
Applications en santé : le B.A.-ba sur cette révolution
Bulletin du Conseil National de l’Ordre des Médecins, juillet-août 2017
Document en français
TVA - Régimes d’imposition et obligations déclaratives et comptables - Obligations d’ordre comptable - Obligation d’utiliser un logiciel de comptabilité ou de gestion ou un système de caisse satisfaisant à des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données en vue du contrôle de l’administration fiscale

Bulletin Officiel des Finances Publiques-Impôts 3/8/2016
Document en français
Evolution de la procédure d’agrément des hébergeurs de données de santé, fiche ASIP, 2017
Document en français
Revue stratégique de cyberdéfense, SGDSN 12 février 2018
Document en français
Guide pratique sur la protection des données à destination des médecins, CNOM et CNIL, juin 2018
Document en français
Catalogue des solutions qualifiées par l’ANSSI, juin 2018
Document en français
Arrêté du 2/7/2018 sur l’instruction méthodologique d’analyse de risque d’un secteur d’activités d’importance vitale
Premier ministre
Document en français
Information de « logiciovigilance » de Medasys aux utilisateurs des logiciels Halia* et DxLab* en cas de mise à jour automatique des environnements
Courrier relayé le 7 août par l’ANSM
Document en français
Présentation de Marc FUMEY (HAS) à la SFAR le 28/9/2018 sur le numérique en santé
Document en français
Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé
Rapport public 2020
Ministère des Solidarités et de la Santé et ANS
Document en français
Mémento RGPD à l’usage du directeur d’établissement
Ministère des Solidarités et de la Santé, 29/3/19
Document en français
Témoignages exclusifs de 40 professionnels de la SSI Santé
APSSIS, janvier 2019
Document en français
Se familiariser avec le RGPD
Kit d’information à destination des établissements médico-sociaux
FHF, septembre 2018
Document en français
Présentation d’Anita Burgun et Marc Cuggia sur le partage des données pour la recherche clinique
2014
Document en français
Qualité et sécurité des actes de téléconsultation et de téléexpertise
Guide de bonnes pratiques
HAS mai 2019
Document en français
Maîtrise du risque numérique - L’atout confiance
Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Association pour le management des risques et des assurances de l’entreprise (AMRAE), novembre 2019
Document en français
Rapport d’activité de Cybermalveillance.gouv.fr 2021
Document en français
Panorama de la menace informatique 2021
ANSSI, 8 mars 2022
Document en français
Feuille de route « Accélérer le virage numérique », dossier de presse, ministère 25 avril 2019
Document en français
Industrie du futur - enjeux et perspectives pour la filière industries et technologies de santé
Rapport du Pôle Interministériel de Prospective et d’Anticipation des Mutations économiques (PIPAME), juin 2019
Document en français
Contribution des outils numériques à la transformation des organisations de santé
Paroles d’acteurs
Coordinateur Dr Jean-Pierre Blum
2019 Tome 1
Document en français
Recommandations pour la protection des systèmes d’information essentiels
Guide ANSSI, version 1.0, 18/12/2020
Document en français Document en anglais
Un espace européen des données de santé : exploiter le potentiel des données de santé pour les citoyens, les patients et l’innovation
Communication de la Comission Européenne, le 3/5/2022
Document en français
Etat de la menace rançongiciel à l’encontre des entreprises et institutions
ANSSI le 29/01/2020
Document en français
Le rapport public annuel 2020 de la Cour des comptes
Chapitre consacré au Dossier Pharmacutique (Lien non faisable !)
Document en anglais
Good practices for the security of Healthcare services
European Union Agency for Cybersecurity
February 24, 2020
Document en français
Délibération CNIL du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »
Document en français
Equipe-projet StopCovid et écosystème des contributeurs sur le site de l’ANSSI, 26/4/2020
Document en français
Déclaration conjointe sur le suivi numérique des contacts par Alessandra Pierucci, Présidente du Comité de la Convention 108 et Jean-Philippe Walter, Commissaire à la Protection des données du Conseil de l’Europe
Strasbourg, 28 avril2020
Document en français
Etat de la menace rançongiciel à l’encontre des entreprises et institutions
ANSSI, 1/2/2021
Document en français
Agir contre une attaque par hameçonnage
Fiche réflexes
ANS, mai 2020
Document en français
Avis du Comité de Contrôle et de Liaison Covid-19 du 2/3/2021
« Secret médical et protection des données personnelles »
Document en français
La gouvernance des données de santé
Leçons de la crise du Covid-19 en Europe, en Chine et aux États-Unis
Institut Français des Relations Internationales (IFRI), juillet 2021
Document en français
Numérique en santé
Entre e-santé, exercices pharmaceutiques et usages, « tout (sera) est connecté »
Cahier thématique 18 de l’Ordre national des Pharmaciens, 5/7/2021
Document en français
Rapport annuel 2021 de la CNIL
Document en français
Covid-19 cyber threat assessment, Thalès, 24/3/2020
Document en français
Référentiel des critères pour intégrer le catalogue de Mon espace santé
Juillet 2022

Référencement
Document en français
Health Data Hub : La protection des données au coeur de l’innovation en santé
Thèse professionnelle de Dalila Ferrah, Mastère spécialisé® « Management et protection des données personnelles », présentée le 4 novembre 2020

Comporte un benchmark européen
Document en français
Trajectoire du numérique en santé adaptée pour le secteur médico-social
Ministère des Solidarités et de la Santé, juin 2020
Document en français
Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé
Rapport public 2019
Ministère des Solidarités et de la Santé, Haut fonctionnaire de sécurité et de défense, Agence du Numérique en Santé
Document en français
La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis
CJUE le 16/7/2020
« arrêt Schrems II »
Document en français
Attaque par rançongiciels, tous concernés
Comment les anticiper et réagir en cas d’incident ?
ANSSI, septembre 2020
Document en français
Ce que la Covid-19 a vraiment montré en matière de e-santé
Retour d’expérience en Île-de-France
Sesan (ARS IDF) août 2021 ?
Document en anglais
Electronic Health Record (EHR) standards for India
30/12/2016
Document en français
Doctrine du numérique en santé
Ministère des Solidarités et de la Santé, janvier 2022
Document en français
Avis du Conseil de la CNAM sur les travaux menés par la Commission mixte (COR et CSITN) sur les données de santé (hébergement du Health Data Hub)
Février 2022
Document en français
Obligations et responsabilités en matière de cybersécurité des collectivités locales
Guide CNIL et Cybermalveillance.gouv.fr, juillet 2022
Document en français
Référentiel d’interopérabilité et de sécurité des dispositifs médicaux numériques de télésurveillance
ANS / Journal Officiel, le 31/7/2022
Document en français
Cyberattaque au CH de DAX
Retex un an après la crise
Centre hospitalier de Dax, aout 2022
Document en anglais
Study on Digital Health implementation in the EU
Final Report
Délégation du Numérique en Santé, April 2022

Benchmark macro des régulations des différents pays de l’UE
Document en français
Cybersécurité des Dispositifs Médicaux Intégrant du Logiciel Au cours de leur Cycle de Vie
ANSM (Lien non faisable !), septembre 2022
Document en anglais
Guidance on Cybersecurity for medical devices
Medical Device
European Commission
Medical Device Coordination Group December 2019
Document en anglais
Principles and Practices for Medical Device Cybersecurity
International Medical Device Regulators Forum (IMDRF), October 1, 2019
Document en français
Directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022
concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union

Nouvelle version de la directive Nis
Document en français
Arrêté du 22 février 2023 portant approbation du référentiel d’interopérabilité et de sécurité des dispositifs médicaux numériques
Document en français
Rapport de conclusion des travaux de la mission flash, constituée le 15 mars 2023, sur les défis de la cyberdéfense
Assemblée nationale le 17 janvier 2024
Document en français
Guide pratique RGPD
Sécurité des données personnelles
CNIL, mars 2023
Document en français
Feuille de route du numérique en santé 2023-2027
Document en français
Instruction du 23 mai 2023 relative au traitement des incidents significatifs ou graves de sécurité des systèmes d’information
Document en français
Observatoire des incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social
Rapport public 2022
ANS, CERT santé
Document en français
Recommandations relatives à l’authentification multifacteur et aux mots de passe
Guide ANSSI, 8/10/2021 (?)
Document en français
Plan blanc numérique
Etablissement de santé
Guide d’aide à la préparation
DGOS
dans le Bulletin officiel Santé - Protection sociale - Solidarité n° 2023/12 du 30 juin 2023
Document en français
Instruction SHFDS/FSSI/2023/15 du 30 janvier 2023 relative à l’obligation de réaliser des exercices de crise cyber dans les établissements de santé et à leur financement
Ministère de la Santé et de la Prévention

Source online ?
Document en anglais
ENISA threat landscape health sector
(January 2021 to March 2023)
ENISA (European Union agency for cybersecurity), July 2023
Document en français
Manuel de certification des établissements de santé
HAS, le 20 juillet 2023
Document en français
Évaluation de la gestion des risques numériques dans les pratiques de soins selon le référentiel de certification des établissements de santé
HAS, 7/9/2023
Document en anglais
Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions
Guidance for Industry and Food and Drug Administration Staff
FDA, April 8, 2022
Document en français
The Malicious Use of Artificial Intelligence: Forecasting, Prevention, and Mitigation
Electronic Frontier Foundation, February 20, 2018
Document en français
La Cybersécurité pour les ESSMS en 13 questions
Ministère de la Santé et ANS, octobre 2022
Document en français
Panorama de la cybermenace 2022
ANSSI, janvier 2023
Document en français
Arrêté du 26 octobre 2023 portant approbation du référentiel de sécurité et d’interopérabilité relatif à l’accès des professionnels au dossier médical partagé (DMP)
Document en français
Etablissement de santé
Déployez sereinement la téléradiologe
ANAP, 19/2/2024
Document en français
Panorama de la cybermenace 2023
ANSSI, mars 2024
Document en français
Mémento de sécurité informatique pour les professionnels de santé en exercice libéral
Guide des bonnes pratiques
ANS, le 17/11/2021
Document en français
Guide des prérequis et objectifs
Appel à Financement n°1- Fonction « Annuaires techniques et exposition sur internet »
Ministère de la Santé, mars 2023
Document en français
Doctrine du Numérique en Santé 2023
Document en français
Arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au Système national des données de santé
Document en français
Référentiel de certification Hébergeur de données de santé (HDS) Exigences

Référentiel d’accréditation HDS

JO du 16 mai 2024

(référence à SecNumCloud v3.2 de l’ANSSI)
Document en français
Observatoire des signalements d’incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social
Rapport public 2023
ANS, CERT Santé
Document en français
Recommandations de sécurité pour un système d’IA générative
Le document vise à sensibiliser les administrations et entreprises aux risques liés à l’IA générative ainsi qu’à promouvoir les bonnes pratiques dans la mise en œuvre de ce type de système.
ANSSI, le 29 avril 2024
Document en français
La cybersécurité en établissement de santé
Plan d’attaque contre les attaques
ANAP, le 19/6/2024
Document en français
MaturiN-SMS
Evaluation de la maturité numérique du champ social et médico-social
Ministère de la Santé, 22/2/2024
Document en français
Guide de sensibilisation à la menace informationnelle
Ecosystème des acteurs économiques associés aux Jeux Olympiques et Paralympiques de Paris 2024
Secrétariat Général de la Défense et de la sécurité Nationale, mai 2024
Document en anglais
The Pregnancy Panopticon
Women’s health is big business. There are a staggering number of applications for Android and iOS which claim to help people keep track of their monthly cycle...
Electronic Frontier Foundation (EFF), July 2017
Document en français
Sécurisation de l’accès à distance des prestataires
CERT Santé / ANS, le 18/1/2023
Document en français
Recommandations pour l’hébergement dans le cloud des systèmes d’information sensibles
ANSSI, juillet 2024
Document en français
Référentiel d’Interopérabilité, de Sécurité et d’Ethique des systèmes d’information de téléconsultation
Version V1.5.0
ANS, octobre 2024
Document en français
Secteur de la santé
Etat de la menace informatique
Cert-FR, 31/10/2024
Document en anglais
Report 2030 Digital decade
Report on the state of the digital decade 2024
This document should not be considered as representative of the European Commission’s official position. Luxembourg: Publications Office of the European Union, 2024
Document en français
Les (cyber)violences au sein du couple
Premier entretien d’un professionnel ou d’une professionnelle avec une victime de (cyber)violences au sein du couple
Réalisé par la Mission interministérielle pour la protection des femmes contre les violences et la lutte contre la traite des êtres humains (Miprof) et le Centre Hubertine Auclert
2024
Document en français
Appel à projets 2024-2025
Outils numériques au service des parcours de soins & de la prévention
G.nius, Décembre 2024
Document en français
Panorama des solutions de gestion de données
Anap et HDH, décembre 2024
Document en français
Clausier sécurité 2024
Club RSSI santé
Version de mai 2024
Document en français
La sécurité informatique des établissements de santé
Cour des Comptes, le 3/1/2025
Document en anglais
Communication Action Plan Cybersecurity Hospitals and Healthcare providers
European action plan on the cybersecurity of hospitals and healthcare providers
European Commission, 15 January 2025
Document en français
Instruction DNS du 22 janvier 2025 relative à l’obligation de mettre en œuvre des actions urgentes ou prioritaires au service de la sécurité des systèmes d’information dans les établissements sanitaires
Document en français
Plan stratégique de l’Agence nationale de la sécurité des systèmes d’information
2025-2027
Document en français
Panorama de la cybermenace 2024
ANSSI, 11 Mars 2025
Document en français
Arrêté du 23 octobre 2023 modifiant l’arrêté du 23 juin 2022 relatif aux critères applicables au référencement des services et outils numériques au catalogue de service de l’espace numérique de santé
Document en français
Programme Care 2023-2027
Document en français
Les français et le numérique en santé
Synthèse d’études
DNS, janvier 2024
Format autonome
Format de document électronique :
- affichable et imprimable indépendamment du LAP (Lien non faisable !), de la BdM (Lien non faisable !) et de tout autre outil métier sur un poste informatique équipé uniquement de programmes gratuits. Pour la certification des LAP, sont considérés comme formats autonomes : pdf-A, html-4, txt-UTF8, txt-UTF16 et rtf;
- dont le contenu est utilisable par les professionnels de santé sans recourir à des données, des tables ou des codages propres au LAP, à la BdM ou à l’établissement.		 
Répertoire Partagé des Professionnels de Santé (RPPS)
Répertoire assignant à chaque professionnel de santé (chirurgiens-dentistes, médecins, pharmaciens, sages-femmes) exerçant en France un identifiant à 11 chiffres, unique, pérenne et « non significatif » (ne comportant aucune information d’âge ou de localisation). Cet identifiant est utilisé dans le référentiel d’interopérabilité de l’ASIP.		 
Services associés
Ensemble de services liés à une activité et pouvant être pris en charge par un logiciel ou par l’utilisation d’une fonction du logiciel enrichie d’une action humaine.
« Règles de certification de la marque NF Logiciel » Afaq-Afnor Certification.		En tant qu’élément de glossaire, ce terme semble à déprécier car il n’est pas utilisé. Il reste le pivôt de ma balise Services_associes
La conservation sur support informatique des informations médicales mentionnées aux trois premiers alinéas de l’article L. 1110-4 par tout professionnel, tout établissements et tout réseau de santé ou tout autre organisme intervenant dans le système de santé est soumise au respect de référentiels définis par arrêtés du ministre chargé de la santé, pris après avis de la Commission nationale de l’informatique et des libertés. 
Habilitation informatique : niveau d’accès aux données et aux fonctions (en particulier possibilités de requêtes). Les habilitations résultent des activités et de la qualité des utilisateurs. Elles sont justifiées par le métier ou par une mission. Elles doivent prendre en compte la continuité des soins. 
Guides de sécurité informatique à l’usage des professionnels ou des établissements de santé 
DDoS : Distributed Denial of Service attack 
WikiPE comporte un anti-injecteur SQL, no-SQL et anti attaque XSS. Seules certaines chaines de caractères, entrées à titre de paramètre par les administrateurs informatiques ne sont pas contrôlées par cet anti-injecteur. 
PrésentationGère le chiffrement et le déchiffrement des données, convertit les données machine en données exploitables par n’importe quelle autre machine
Coffre fort électronique
Un service d’archivage à vocation probatoire est «un système d’archivage de données mettant en œuvre des processus et des mécanismes de sécurité (horodatage, empreinte du document, signature numérique, etc.), souvent réalisés par des tiers, permettant d’apporter une valeur juridique à la conservation intègre du document et à sa lisibilité dans le temps». Ce service comprend habituellement : une fonction d’horodatage, de mise sous scellés, éventuellement de cryptage, et de mise en coffre-fort. Ce service serait offert par un tiers de confiance (hébergeur de données de santé dans le cas qui nous intéresse). Il permet à un utilisateur de prouver qu’un document est original et non-modifié puisqu’identique à une copie déposée (datée et sous scellés) dans le coffre-fort électronique.		 
VIGIPIRATE : Remontée des signaux faibles de radicalisation

Dans les circonstances actuelles, il est plus que jamais nécessaire que les services de l‘Etat disposent des remontées d’informations concernant les évènements qui se passent sur le territoire.

Cette connaissance se traduit notamment par :
1. Une remontée des « signaux faibles »
Les informations relatives à toutes les violences physiques ou verbales, à connotation confessionnelle, raciste ou antisémite, les tags, les mails et tweets proférant insultes ou menaces, les signes de radicalisations des comportements des personnels ou visiteurs doivent être signalés aux services de police locaux.
2. Une remontée des attaques sur les systèmes d’informations
L’ensemble des sites français étant menacés, il est nécessaire de rendre compte desattaques de tous types qui se sont produites (ssi@sg.social.gouv.fr). Par ailleurs, vous trouverez sur le site de l’ANSSI, une note d’information sur les dénis de service :
http://www.cert.ssi.gouv.fr/site/CERTA-2012-INF-001/index.html.

Le service du haut fonctionnaire de défense et de sécurité reste à votre disposition pour tout complément d’information (Tel: 01 40 56 48 49 - Boite fonctionnelle : hfds@sg.social.gouv.fr)		 
Lorsque la signature « est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat.» 
Phreaking : piratage informatique concernant les téléphones et la téléphonieDes ESMS victimes d’importants piratages des systèmes de téléphonie : comment limiter les risques ? Note d’information du 19/08/2015 (URIOPSS Nord Pas-de_Calais)
Les fichiers gérés par WikiPE sont stockés sans modification dans un dossier nommé « Multimedia » dans le même dossier que le site web et au même niveau (ce qui empêche l’accès sans recours à l’application, sauf piratage du serveur). La base MongoDB ne contient que le nom, la langue et surtout les droits attachés au contenu multimédia. Au même niveau, un fichier « Transit » héberge transitoirement les fichiers CSV lors de leur synthèse. 
Rançonnage de l’Hollywood Presbyterian Medical Center par utilisation d’un cryptovirus :
- HelpNetSecurity le 15/2/2016
- Le Monde le 16/2/2016
- Communication de l’établissement sur l’événement
- France24 le 18/2/2016		 
Chaîne d’alerte mise en place par le ministère des affaires sociales pour la remontée des incidents informatiques : ssi@sg.social.gouv.fr 
OWA (One key Web Authentification) 
LifeLabs, le plus grand fournisseur de tests en laboratoire du secteur de la santé au Canada, a été la cible d’une fuite de données massive qui a exposé les informations personnelles et médicales d’environ 15 millions de Canadiens.

Dans un communiqué publié sur son site internet, LifeLabs a révélé qu’un attaquant non identifié avait eu un accès non autorisé aux systèmes de l’entreprise le mois dernier et volé les informations clients suivants :
   Nom
   Adresse postale
   Adresse mail
   Identifiant de connexion
   Mot de passe de leur compte LifeLabs
   Date de naissance
   Numéro de sécurité sociale
   Résultats d’analyse

LifeLabs a choisi de payer une somme non divulguée à l’attaquant afin de récupérer les données dérobées.

L’entreprise a détecté la fuite de données fin octobre mais n’a pas précisé comment l’attaquant avait pu s’introduire dans ses systèmes. Elle a déclaré que les données impactées remontaient jusqu’à 2016 pour 85 000 clients et que les clients concernés seront contactés prochainement. Les autorités canadiennes ont été averties et poursuivent l’investigation, qui permettra peut-être d’identifier le nom du programme malveillant utilisé ainsi que les attaquants à l’origine de la cyberattaque.

Etant donné que la fuite de données a notamment révélé des identifiants et mots de passe, les clients concernés ont pour consigne de changer le mot de passe de leur compte LifeLabs.

Pour rappel, si vous êtes victimes de rançongiciels, il est recommandé de ne jamais payer les rançons...

Cyberveille, janvier 2020